Waarom realtime bidding een ernstig gevaar blijkt
Real time bidding is het in realtime geautomatiseerd inkopen van advertenties. En die advertenties zijn dan best zoveel gepersonaliseerd mogelijk. Maar wat als die hierdoor niet meer anoniem zijn?
In twee rapporten, Europe’s Hidden Security Crisis en America’s Hidden Security Crisis, stelt de Irish Council for Civil Liberties (ICCL) dat ‘buitengewoon gevoelige’ informatie over hooggeplaatste figuren in de EU en de VS terecht kan komen bij buitenlandse mogendheden. Met gevaar voor chantage en hacking.
De boosdoener is het realtime biedsysteem van online advertenties. Realtime bidding (rtb), dat massaal veel websites en apps gebruiken, maakt het in functie van targeting mogelijk om (zogenaamd) geanonimiseerde gegevens te delen tussen data brokers en adverteerders. ‘Rtb is een reclametechnologie die voortdurend gevoelige informatie over mensen uitzendt, terwijl ze het internet gebruiken. De gegevens kunnen terecht komen andere entiteiten zonder beveiligingsmaatregelen om de gegevens te beschermen’, stelt de ICCL.
Anoniem?
In theorie gaat het dus om geanonimiseerde data. Maar, zegt de ICCL, deze gegevens zijn in veel gevallen gedetailleerder dan gedacht. Rtb-gegevens bevatten vaak locatie-informatie, time-stamps of andere identificatiegegevens die het voor kwaadwillenden relatief gemakkelijk zou maken om ze aan specifieke personen te koppelen. Denk aan beroepen zoals politici, militair personeel en rechters
‘Buitenlandse staten en niet-statelijke actoren kunnen rtb gebruiken om de financiële problemen, mentale toestand en compromitterende intieme geheimen van doelpersonen te bespioneren’, zegt de ICCL. ‘Zelfs als doelpersonen beveiligde apparaten gebruiken, kunnen persoonlijke data over hen nog steeds beschikbaar raken.’
Data free for all
De regels voor het delen van rtb-gegevens worden grotendeels vastgesteld door IAB TechLab. Google en andere rtb-bedrijven, zo beweert de ICCL, sturen EU- en Amerikaanse rtb-gegevens naar Rusland en China, waar nationale wetten het toelaten dat hun veiligheidsdiensten ze consulteren. De ICCL roept Google en IAB TechLab op om hun protocollen aan te passen, zodat er in toekomst geen directe persoonsgegevens meer zijn toegestaan.
‘De data-free-for-all aanpak van de rtb-industrie heeft een ernstige nationale bedreiging gecreëerd’, stelt Johnny Ryan, senior fellow van ICCL. ‘We roepen onder meer de Europese gegevensbeschermingsautoriteiten en de Europese Commissie op om actie te ondernemen. De industrie mag onze gekozen leiders en ons militair personeel niet in gevaar te brengen.’
Google zegt, in een recente reactie in het zakenblad Forbes, dat het alleen een eerder algemene geolocatie deelt, die een ‘voldoende groot’ aantal gebruikers omvat, en geen gegevens over gezondheid, ras, religie en politieke overtuiging. En, zo beweert de techgigant, het stopte begin vorig jaar met het weergeven van advertenties in Rusland.
‘Om de privacy van mensen te beschermen, hebben we de strengste beperkingen in de branche op de soorten gegevens die we delen’, aldus een woordvoerder. ‘Ons beleid voor realtime bidding staat simpelweg niet toe dat kwaadwillenden de privacy en veiligheid van mensen in gevaar brengen.’ Wordt ongetwijfeld vervolgd.
Rapporten
Europe’s Hidden Security Crisis
America’s Hidden Security Crisis
Dit artikel verscheen eerder (in het Engels) in het Cybersec Europe e-Magazine #3
